Zaterdag 06/06/2020

'Goedaardig' wormvirus bindt strijd aan met Blaster-worm

Er circuleert een nieuw virus op het internet. Dat elimineert de restanten van de Blaster-worm en dicht eigenhandig het veiligheidsgat in Windows. Toch opletten, zeggen beveiligingsbedrijven.

Ronald Meeus

Een nieuw virus van hetzelfde kaliber als de Blaster-worm van vorige week maakt, net als die laatste, gebruik van het befaamde lek in het besturingssysteem Windows, om restanten van het Blaster-virus uit het systeem te wissen, het gat in Windows te dichten door zich automatisch in te loggen op de website van Microsoft en daar de herstelsoftware te downloaden, en in te slapen tot ergens in 2004, wanneer het zichzelf automatisch uitwist. Het virus verspreidt zich, net als de Blaster-worm, via het internet.

Een 'goedaardig' virus als Welchia of Nachi, zoals het inmiddels werd gedoopt, kan fantastisch lijken voor een consument, geeft Wouter Mariën toe, presales manager bij de Belgische afdeling van internetbeveiliger Symantec. Maar we moeten volgens hem rekening houden met een aantal onvermoede nadelen. "Ons onderzoek zegt dat het virus inderdaad restanten van het Blaster-virus elimineert, maar niet de worm zelf", zegt Mariën. "Bovendien is het totaal onverantwoord om op deze manier te trachten een ander virus van een computer te halen: ook dit 'goedaardige' virus maakt immers gebruik van dezelfde technieken als een destructieve worm. Een virus dat zich vastbijt op een pc en zich ongevraagd vermenigvuldigt naar andere computers kunnen we niet toejuichen."

Bovendien kan ook het Welchia- of Nachi-virus uiterst destructief zijn voor bedrijven, zegt Mariën. "Het virus doet, als het zijn werk heeft gedaan, automatisch je computer herstarten, wat zeker in de bedrijfswereld tijd en dus geld kan kosten. Bovendien zijn ook webservers er gevoelig voor: er zullen niet veel it-mensen in een bedrijf zijn die graag zien gebeuren dat de webserver ineens wordt gereboot."

De meeste beveiligingsbedrijven hebben een update voor hun antivirussoftware klaargezet, die ook dit schijnbaar goedaardige virus de kop afbijt, en ook het BIPT stuurde een waarschuwing uit over het nieuwe virus. Wat de antivirusexperts wel toegeven, is dat dit de eerste keer is dat er een virus wordt opgemerkt dat, buiten een aantal minder fraaie neveneffecten, niet bedoeld is om destructief te zijn. Maar de vraag is ook waar het ophoudt, zeggen ze: de vrees is een beetje dat dit soort 'antiwormen' op hun beurt nieuwe antiwormen zullen uitlokken, zodat er een vicieuze cirkel ontstaat. "De bedenker van de Nachi-worm ziet zichzelf misschien als de Dirty Harry van de internetwereld", zegt consulent Graham Cluley van het Britse antivirusbedrijf Sophos. "Maar er bestaat niet zoiets als een goedaardig virus. De worm kan gemakkelijk voor verscheidene onvoorziene conflicten zorgen."

De Welchia- of Nachi-worm werd het eerst gerapporteerd in Aziatische landen, en ook de tekstboodschap die antivirusvorsers in de programmacode vonden ("Welcome Chian"), doet vermoeden dat het virus geschreven is door een Aziaat. Niettemin wordt er ook hier al alarm geslagen: Symantec gaf het een alarmwaarde van 4 mee, op een schaal van 1 tot 5.

Er lijkt een vrij duidelijke boodschap achter het virus te zitten, denkt Mariën: "De ontwikkelaar van het virus wil blijkbaar zeggen dat mensen de 'patch' (het updatebestand dat het Windows-gat dicht, RMe) van Microsoft niet snel genoeg downloaden, waardoor hun pc kwetsbaar blijft voor nieuwe wormvirussen."

Dat laatste klopt, zegt woordvoerder Dirk Delmartino van Microsoft België. "Dat is iets wat we inmiddels al jaren zeggen: mensen hebben te weinig de reflex om een update te downloaden als we die beschikbaar stellen. Als ze daardoor een beveiligingslek openlaten, stellen ze zichzelf natuurlijk onnodig bloot aan virussen. In die zin zijn we dus alleen maar blij als er eens iets gebeurt dat die reflex versnelt. Zonder natuurlijk de groei van wormvirussen toe te juichen." Bezitters van Microsofts Windows-besturingssysteem die zijn ingelogd op het internet, worden bij elke beschikbare update van het systeem altijd gevraagd of ze die willen downloaden. Het bedrijf denkt er echter aan om in zijn nieuwe Windows-versie, die ergens in 2005 moet verschijnen, een feature in te bouwen die het mogelijk maakt om die updates volledig automatisch, dus onzichtbaar, te downloaden. "Maar dat is nog maar een vaag voornemen", zegt Delmartino. "We moeten er eerst zeker van zijn dat we daarbij rekening houden met alle privacy-implicaties."

Beveiligingsexpert Graham Cluley: 'Er bestaat niet zoiets als een goedaardig virus'

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234